Este documento presenta un curso sobre el Reglamento Europeo de Protección de Datos. El objetivo del curso es proporcionar conocimientos especializados sobre la normativa de protección de datos para que los participantes puedan desempeñarse como Delegados de Protección de Datos. El curso cubre temas como los principios y fundamentos del Reglamento, los derechos de los individuos, las medidas de cumplimiento, las transferencias internacionales de datos y las normativas sectoriales relacionadas con la protección de datos.
2. 1. OBJETIVOS DEL CURSO
Proporcionar un conocimiento especializado del derecho y la práctica de protección de datos para garantizar
la adquisición de competencias profesionales como Delegado de protección de datos.
Objetivos OPERATIVOS:
- Estar capacitado para recabar información para determinar las actividades de tratamiento.
- Ser capaz de analizar y comprobar la conformidad de las actividades de tratamiento.
- Saber cómo informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento.
- Saber cómo recabar información para supervisar el registro de las operaciones de tratamiento.
- Estar cualificado para sesorar en la aplicación del principio de la protección de datos por diseño y por
defecto.
- Lograr capacitación para orientar a los responsables del tratamiento de datos sobre los planes de
formación internos y metodologías a emplear.
- Saber cómo identificar las actividades que requieran un mayor riesgo en el tratamiento de datos sensibles.
Dirigir la metodología de evaluación del impacto.
3. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
ESTRUCTURA DIDÁCTICA MÓDULO I
1.1. Contexto normativo.
1.2. El Reglamento Europeo de Protección de datos y actualización de LOPD. Fundamentos.
1.3. El Reglamento Europeo de Protección de datos y actualización de LOPD. Principios
1.4. El Reglamento Europeo de Protección de datos y actualización de LOPD. Legitimación
1.5. Derechos de los individuos.
1.6. El Reglamento Europeo de Protección de datos y actualización de LOPD. Medidas de cumplimiento.
1.7. El Reglamento Europeo de Protección de datos y actualización de LOPD. Responsabilidad proactiva.
1.8. El Reglamento Europeo de Protección de datos. Delegados de Protección de Datos (DPD, DPO o Data
Privacy Officer).
1.9. El Reglamento Europeo de Protección de datos y actualización de LOPD. Transferencias internacionales
de datos.
1.10. El Reglamento Europeo de Protección de datos y actualización de LOPD. Las Autoridades de Control.
1.11. Directrices de interpretación del RGPD.
1.12. Normativas sectoriales afectadas por la protección de datos.
1.13. Normativa española con implicaciones en protección de datos.
1.14. Normativa europea con implicaciones en protección de datos.
5. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
Identificar la normativa vigente para el tratamiento de los datos como delegado de protección
de datos.
Conocer los estándares de internacionales y buenas prácticas en base al RGPD.
6. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
ESTRUCTURA DIDÁCTICA
Introducción
1.1.1 Privacidad y protección de datos en el panorama Internacional
1.1.2 Protección de datos en Europa y España
1.1.3 Estándares y buenas prácticas
7. UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
MÓDULO I. NORMATIVA GENERAL DE
PROTECCIÓN DE DATOSMÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
INTRODUCCIÓN
El Derecho de protección de datos de personas físicas residentes a la UE ,quedan establecidos en dos de
los cuatro documentos que conforman las constitución de la Unión Europea
● La protección de datos es un Derecho fundamental como señala TRUE y CDF y que Comisión UE aportó
el 4 de noviembre del 2010 , que dio lugar presente Reglamento General de Protección de Datos
(Reglamento (UE) 2016/679 ) y Directiva (UE) 2016/680
● En España consta como un derecho explícito, señalado el artículo 18.4 de la Constitución de 1978.
● España conocía los proyectos y trabajos llevados a cabo en materia de protección desde finales de
1960 en el Consejo Europeo.
● El Tribunal Constitucional hacia referencia ala posibilidad del interesado, de determinar el tratamiento
que puede darse a sus datos personales. Como indica las siguientes sentencias:
8. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
INTRODUCCIÓN
Sentencias:
● “Sentencia 94/1998, de 4 de mayo, que nos encontramos ante un derecho fundamental a la protección
de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales,
y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los
derechos de los afectados.”
● “Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente
que consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona
para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles
puede este tercero recabar, y que también permite al individuo saber quién posee esos datos
personales y para qué, pudiendo oponerse a esa posesión o uso.”
9. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.1 PRIVACIDAD Y PROTECCIÓN DE DATOS EN EL PANORAMA INTERNACIONAL
Reglamento General de Protección de Datos (RGPD) ha sido construido como base a la reforma
normativa realizada por la Unión Europea.
Con el objetivo de garantizar unos estándares con los que proporcionar alto niveles de protección
adaptados a la realidad digital, y permitir la libre circulación de los datos.
Una protección basado en los datos personales en favor al derecho de la privacidad y libertad de
instituciones, organismos y personas físicas o jurídicas en el tratamiento de los mismos.
Este Reglamento, lo presentó la Directiva 95/46/CE, al Parlamento Europeo, que fue aprobado, y
entró en vigor 20 el 4 de mayo de 2016, y se aplicará en todos los países miembros de la Unión
Europea el 25 de mayo de 2018.
10. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.1 PRIVACIDAD Y PROTECCIÓN DE DATOS EN EL PANORAMA INTERNACIONAL
PANORAMA INTERNACIONAL:
Protección de datos en el mundo
Las autoridades y distribución geográfica son diferentes entre unos países y otros, ya que cada uno
establece sus propias normas específicas en el tratamiento y protección de datos personales por parte de
las autoridades de cada punto geográfico.
El continente con mayor nivel de protección de datos conseguidos ha sido Europa donde también se
resalta por el mismo motivo América del Norte, sobre todo a nivel privado donde se han conseguido más
desarrollo en la seguridad y protección de los datos.
Las zonas donde se ha desarrollado mayoritariamente a nivel legislativo e institucionalización han sido en
Iberoamérica , el Pacífico y algunas regiones de áfrica.
11. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.1 PRIVACIDAD Y PROTECCIÓN DE DATOS EN EL PANORAMA INTERNACIONAL
PANORAMA INTERNACIONAL:
La existencia de leyes que regulan los tratamientos de datos
personales están dirigidas por las autoridades de supervisión
que verifican y controlan el cumplimiento de las leyes. En los
entornos de alrededor de Europa las autoridades de protección
de datos son independientes, aspecto aplicado de manera
diferencia en los territorios de Europa.
Para formar parte como miembro de la Conferencia , las
autoridades deben cumplir unos criterios, como la
independencia de las funciones y vigilancia del cumplimiento de
las normas referidas a la protección de datos .En algunos países
las autoridades subnacionales territoriales o sectoriales; y en
unos pocos, los países conocen y llevan a cabo la normativa pero
no bajo la supervisión de una autoridad determinada o
específica en ello.
12. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.1 PRIVACIDAD Y PROTECCIÓN DE DATOS EN EL PANORAMA INTERNACIONAL
PANORAMA INTERNACIONAL: Los países que cuentan con la autoridad y protección de datos
acordada por la Conferencia Internacional de Comisionados de Protección de Datos y Privacidad son:
Europa Albania Alemania Andorra Austria Bélgica Bosnia y Herzegovina Bulgaria Chipre Croacia
Dinamarca Eslovaquia Eslovenia España Estonia Ex República Yugoslava de Macedonia
Finlandia Francia Grecia Hungría Irlanda Islandia Italia Letonia Liechtenstein Lituania
Luxemburgo Malta Moldavia Mónaco Noruega Países Bajos Polonia Portugal Reino
Unido República Checa Rumanía Serbia Suecia Suiza
África Burkina Faso Marruecos Mauricio Senegal Túnez
América Argentina, Canadá, Colombia. Cost,Rica, E.E.U.U., México, Perú ,Uruguay Asia Hong Kong
Israel Korea del Sur
Oceanía Australia
13. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
Protección de datos en el mundo
Las autoridades y distribución geográfica son diferentes entre unos países y otros, ya que cada uno
establece sus propias normas específicas en el tratamiento y protección de datos personales por parte de
las autoridades de cada punto geográfico.
El continente con mayor nivel de protección de datos conseguidos ha sido Europa donde también se
resalta por el mismo motivo América del Norte, sobre todo a nivel privado donde se han conseguido más
desarrollo en la seguridad y protección de los datos.
Las zonas donde se ha desarrollado mayoritariamente a nivel legislativo e institucionalización han sido en
Iberoamérica , el Pacífico y algunas regiones de áfrica.
14. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.2 PRIVACIDAD Y PROTECCIÓN DE DATOS EN EUROPA Y ESPAÑA
PANORAMA INTERNACIONAL: Países con nivel adecuado de
protección
Los niveles de protección adecuado están relacionado con la
protección de datos que tienen lugar en la Unión Europea. Por
ello no se permite la transferencia de datos a países que no
garanticen la protección de los mismos y se establece un proceso
para determinar los niveles de protección que garantizan como
señala
La valoración sobre la protección y seguridad que puede
proporcionar un centro le corresponde a la Comisión, consultado
anteriormente con el Grupo del Artículo 29 y a un Comité de
representantes de los Estados miembros. Los elementos a
valorarán serán: las leyes en materia de protección de datos, los
contenidos que albergan y su aplicación del sistema de
protección de datos.
15. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.2 PRIVACIDAD Y PROTECCIÓN DE DATOS EN EUROPA Y ESPAÑA
Si una vez valorado el país de determina que es apto de acuerdo a la protección de datos, podrá
transferir datos a otros Estado miembro de la Unión Europea, sin realizar ningún trámite
Entidades que ofrecen garantías adecuadas para la protección de datos (Escudo de Privacidad –
"Privacy Shield")
El Tribunal de Justicia de la Unión Europea (TJUE) cesó la Decisión de la Comisión 2000/520/CE que
determinaba el nivel adecuado que proporcionaba garantías sobre la protección de los datos
transferidos a EEUU , mediante el acuerdo de Puerto Seguro
En julio de 2016 la Comisión publicó la Decisión 2016/1250 el “Escudo de Privacidad UE-EE-UU ”.,
permite que los datos se puedan transferir de una empresa de la Unión Europea a ora de EEUU , si los
datos personales de cualquier ciudadano son utilizados, guardado y transferido de acuerdo a la
normativa y salvaguardias.
16. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
ESTÁNDARES
Los " Estándares Internacionales de Protección de Datos y Privacidad" ha sido estipulados por las
autoridades como criterios para supervisar y proteger la privacidad como derechos de carácter
universal.
Tiene como objetivos: reconocer la privacidad y protección como derecho; y confirmar las
dificultades que generan los diferentes marcos jurídicos de los países, o la inexistencia de leyes de
protección de datos.
Las autoridades de protección de datos apoyan el derecho de protección de datos para la aplicación
de futuros leyes que sirvan para todos los países.
17. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.3. ESTÁNDARES Y BUENAS PRÁCTICAS
Niveles de estándares: nacional, europeo, e internacional.
En el Reglamento de Desarrollo de la LOPD (Real Decreto 1720/2007) comenzó a señalar la
importancia de establecer un estándar, en el artículo. 88 “El documento de seguridad” donde
establece los aspecto mínimos que debe contener el documento.
El Comité de Seguimiento de la AEPD- DPD señaló dentro de su Esquema de Certificación el
estándar ISO 17024:2012 referido a la evaluación de las Entidades de Certificación de Personas.
18. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.3. ESTÁNDARES Y BUENAS PRÁCTICAS
El Esquema de Certificación reconoce como certificaciones. (Tabla 2 , Anexo I ; apartado C”
“ACP-B/ACP-CL/ACP-CT/ACP-AL/ACP-AT de APEP,
CDPP de ISMS FORUM7, CISA/CISM/CRISC de ISACA,
CISSP de Certified Information Systems Security Professional (ISC)2, C
IPP/CIPT de IAPP (International Association of Privacy Professionals),
Auditor ISO 27001 o similar.”
19. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.3. ESTÁNDARES Y BUENAS PRÁCTICAS
BUENAS PRÁCTICAS
La Agencia Española de Protección de Datos (AEPD) y a la Asociación Española
para el Fomento de la Seguridad de la Información, ISMS Forum Spain, junto
con la participación de empresas y profesionales independientes se ha
elaborado el Código de Buenas Prácticas en Protección de Datos para
proyectos de Big Data, para orientar a las empresas que pongan en marcha
proyectos de Big Data.
Big Data es entendido como el aumento de información automatizada ,
supervisado por compañías, autoridades y otras organizaciones, analizados por
el uso de algoritmos.
20. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.3. ESTÁNDARES Y BUENAS PRÁCTICAS
BUENAS PRÁCTICAS
El Código de Buenas Prácticas en Protección de Datos participa en este nuevo contexto en base
al Reglamento Europeo de Protección de Datos , que tiene como fin supervisar la información y
uso de tecnologías automatizadas
El Código queda estructurado en cuatro bloques :
Primer bloque : tiene en consideración aspectos legales, la definición de Big Data, usos y
tecnologías, riesgos amenazas y oportunidades que genera para empresas y ciudadanos.
Segundo bloque específica sobre: las aplicaciones de acuerdo a la normativa y sus obligaciones
respecto a la privacidad de los datos.
Tercer bloque ,hace referencia a los principios y aspectos a proceder
Cuarto bloque, profundiza sobre las medidas tecnológicas para mejorar la privacidad y
seguridad
21. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.3. ESTÁNDARES Y BUENAS PRÁCTICAS
BUENAS PRÁCTICAS
Hay que tener en cuenta que el Código no regula de manera específica la normativa de
protección de datos, por lo que en algunos proyectos no será necesario llevar a cabo el Código.
Por ejemplo: En los casos en los que no sea posible la identificación de los individuos, o si los
datos están completamente anónimos.
De acuerdo al Articulo 68 del RFGP, el Comité Europeo de Protección de Datos señala las
siguientes buenas prácticas:
Protección de datos desde el diseño y efecto
DPD certificado
Evaluación de Impacto
Seudonimización de datos
Códigos de conducta
Certificación, sellos y logos de protección de datos
22. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.3. ESTÁNDARES Y BUENAS PRÁCTICAS
BUENAS PRÁCTICAS
Protección de datos desde el diseño y efecto: para
determinar las medidas y técnicas adecuadas para el
tratamiento, y consecuencias del mismo.
DPD certificado: aconsejable como perfil específico del
tratamiento de datos
Evaluación de Impacto: aconsejable, establece la seguridad de
la organización y limita los riesgos
Seudonimización de datos: información disocializada.
Códigos de conducta; que demuestran el cumplimiento del
RGPD
Certificación, sellos y logos de protección de datos.
23. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.3. ESTÁNDARES Y BUENAS PRÁCTICAS
BUENAS PRÁCTICAS
Protección de datos desde el diseño y efecto: para determinar las medidas y técnicas adecuadas
para el tratamiento, y consecuencias del mismo.
DPD certificado: aconsejable como perfil específico del tratamiento de datos
Evaluación de Impacto: aconsejable, establece la seguridad de la organización y limita los riesgos
Seudonimización de datos: información disocializada.
Códigos de conducta; que demuestran el cumplimiento del RGPD
Certificación, sellos y logos de protección de datos:
24. MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.1 CONTEXTO NORMATIVO
1.1.3. ESTÁNDARES Y BUENAS PRÁCTICAS
BUENAS CONDUCTAS
Por tanto el Código establece mecanismos de protección de los derechos de los interesados y de
evaluación de impacto, que regula aspectos como el “profiling” que genera riesgos si se utiliza
como un tratamiento discriminatorio. Y también se desarrolla el principio de “accountability”
que se rige por el cumplimiento del régimen jurídico y las obligaciones de proteger los datos.
El Código identifica diferentes estrategias de privacidad en cada etapa de la cadena de un
proyecto de de Big Data.
Recuerda que:
Entre las buenas conductas se pueden utilizar estrategias como ocultar datos, informar a los
interesados y vigilar el servicio de los derechos ARCO, entre otros.